Resenha Implantação de um SGSI

Páginas: 6 (1425 palavras) Publicado: 7 de novembro de 2014
Processo de Implantação de um SGSI
Mediante uma análise feita sobre normas e padrões de segurança da informação, conseguimos identificar quais itens devemos implementar em nossa gestão de segurança de acordo com as características da organização. Primeiramente é importante utilizar a ISSO 13335-2 para que haja um comprometimento de todos os setores da organização em relação as políticas desegurança que serão implantados para isso é interessante criar um comitê ou fórum de segurança para definir níveis de riscos.
Para se obter uma boa gestão e implantação de segurança é interessante utilizar a norma BS 7799-2 pois ela é responsável por fornecer ferramentas para melhor gestão e implantação através de um modelo Plan-Do-Check-Act, onde a utilizamos essas etapas para elaboração da políticade segurança, definição do escopo, desenvolvimento de análise de riscos, formalização da estratégia de gestão de riscos, documentação e seleção dos controles aplicáveis para reduzir riscos quando necessário.
A metodologia é a parte do projeto é complexa pelo nível de detalhamentos dos tópicos, itens e aspectos, porem a metodologia pode se tornar um exemplo para a implantação e o acompanhamentode sistemas de gestão de segurança.
Detalhamento da metodologia PDAC:
- Plan: Política de segurança da informação, definição de escopo, análise de risco e gerenciamento das áreas de risco.
- Do: Seleção dos controles, implementação e acompanhamento dos indicadores.
- Act e Check: Auditoria do sistema e plano de melhoria.

Para se construir uma política de segurança é preciso levar emconsideração os itens que vimos na metodologia PDAC, para isso é preciso redigirmos um documento contendo as regras, responsabilidade e práticas de segurança, porém não há um modelo a se seguir porque cada organização possui uma regra de negócio diferente, por isso a criação da política de segurança é algo muito complexo. Baseado nesta política de segurança que os funcionários irão se referenciar issogarantirá que a integridade, disponibilidade e confiabilidade serão preservados.
“A política de segurança deverá apresentar algumas características, conforme especifica a ISSO/IEC 17799: (I) ser aprovada pela diretoria, divulgada e publicada de forma ampla para todos os colaboradores; (II) ser revisada regularmente, com garantia de que, em caso de alteração, ela seja revista; (III) estar emconformidade com a legislação e cláusulas contratuais; (IV) deve definir as responsabilidades gerais e especificas; (V) deve dispor as consequências das violações” (Alaíde e Celso, Pág. 9 Parag. 2).
É necessário abranger outras características como, Propriedades de informação, classificações da informação, controle de acesso, gerencia de usuários e senhas, segurança física, desenvolvimento de sistemas ecompras de softwares, plano de continuidade de negócios, para estas políticas serem seguidas pelos funcionários da empresa é interessante utilizar campanhas para que haja a conscientização dos mesmos.
A análise de risco é a etapa que diagnosticamos os ativos da informação onde para cada ameaça é feito uma análise onde determinamos o seu nível de risco, para isso utilizamos a ISSO 13335-3 quepossui de forma detalhada estratégias de condução de análises de riscos, essas estratégias usam métricas baseadas em tempo e orçamento.
Realizado o diagnóstico dos riscos é preciso passar esta análise a diretoria da empresa que irá definir os riscos aceitáveis e não aceitáveis. Entre os não aceitáveis existem três opções interessantes porem é possível escolher somente uma, sendo elas: reduzir o nívelde risco, aceitar o risco, transferir o risco e negar o risco.
Através de uma análise de riscos quantitativa é possível se obter uma análise de erros baseada em estatísticas utilizando uma análise de registros de incidentes. Ou utilizar uma análise qualitativa que é baseada em know-how feita por especialistas, ambas opções são boas e oferecem resultados significantes para a análise porem as...
Ler documento completo

Por favor, assinar para o acesso.

Estes textos também podem ser interessantes

  • Implantação de uma politica SGSI
  • Sgsi
  • Sgsi
  • Sgsi
  • Sgsi
  • Sgsi
  • Resenha
  • Requisitos do sgsi

Seja um membro do Trabalhos Feitos

CADASTRE-SE AGORA!